备份和还原 SSO (Office SharePoint Server 2007)

Microsoft Office SharePoint Server 2007 中的 Microsoft Single Sign-on (SSO) 功能可将用户凭据映射到后端数据系统。SSO 主要用于商业智能方案。

SSO 环境由 Microsoft Single Sign-on Service、SSO 数据库和加密密钥组成。您必须备份和还原加密密钥和 SSO 数据库。但是,不必备份服务。您应始终对 SSO 数据库执行完整备份。

有关 SSO 的详细信息,请参阅规划单一登录

备份 SSO

备份 SSO 环境的过程包括备份加密密钥和 SSO 数据库。

加密密钥是一种随机生成的 128 位密钥,该密钥用于对数据库中存储的用户凭据数据进行加密和解密。您应在首次设置 SSO 后备份加密密钥,然后在每次重新生成密钥时再次备份密钥。无法以远程方式备份加密密钥。加密密钥只能备份到可移动存储媒体上。您必须使用 SharePoint 管理中心网站来备份加密密钥,而不能使用 Stsadm 命令行工具。

警告

  • 应同时备份加密密钥和其中包含已使用该密钥加密的信息的 SSO 数据库。如果加密密钥和 SSO 数据库中的加密信息变得不同步,则数据库中的加密信息将不可用,并且用户必须再次提交其凭据。

  • 将加密密钥备份和 SSO 数据库备份存储在安全的位置中。

  • 不要将加密密钥的备份媒体与 SSO 数据库的备份媒体存储在相同的位置。如果恶意用户同时获得数据库和密钥的副本,则加密将受到损害,并且恶意用户可以获得对单一登录数据库内存储的所有凭据的访问权限,并获得对计算机资源的未授权访问权限。

SSO 数据库包含用户凭据、SSO 票证、配置数据和审核数据。您应在初次创建 SSO 数据库后对其进行备份,并在每次更改 SSO 的配置或对凭据信息进行重新加密时再次备份该数据库。只有在重新生成新的密钥之后,才能对凭据信息进行重新加密。此外,您可以将 SSO 数据库备份和加密密钥备份与服务器场定期计划的数据库备份放在一起。

确保加密密钥和数据库保持同步

在下列情况中,SSO 数据库中存储的凭据信息和备份的加密密钥可能会变得不同步:

  • 可能会在未对存储在 SSO 数据库中的凭据信息进行重新加密时生成新的加密密钥并进行备份。结果,将会用以前的密钥对凭据信息进行加密。

  • 还有可能会在未备份新的加密密钥时生成新的加密密钥并使用该加密密钥对 SSO 数据库进行重新加密。

  • 如果不是第一次更改备份的加密密钥的名称,Office SharePoint Server 2007 将覆盖备份媒体上以前的加密密钥。

您可以通过以下方式来帮助确保数据库和加密密钥保持同步:

  • 安全地存储加密密钥备份和 SSO 数据库备份。

  • 使用命名约定 — 例如,在加密密钥和数据库 .bak 文件以及存储它们的文件夹名称后面追加日期和时间。

在创建新的密钥并重新加密数据库时,您只需同步数据库备份和加密密钥备份。因此,为了确保同步,在每次使用新的密钥对 SSO 数据库中存储的凭据信息进行重新加密时,请始终备份新的加密密钥。另一方面,如果在常规备份计划中备份数据库,并且数据库是使用与以前相同的密钥加密的,则无需执行同步过程。

例如,您可以执行以下操作:

  1. 在重新生成新的加密密钥和对 SSO 数据库中存储的凭据信息进行加密之前,将当前加密密钥复制到安全的文件夹。

  2. 在密钥名称后面追加日期 — 例如,“BaseKey [04.10.2008].key”。

  3. 将当前 SSO 数据库备份 (.bak) 文件复制到另一个安全的文件夹。

  4. 在 .bak 文件名后面追日期 — 例如,“SSO [04.10.2008].bak”。

  5. 重新生成密钥并对 SSO 数据库中存储的凭据信息进行重新加密,然后备份新的密钥和 SSO 数据库。

还原 SSO

您可能必须还原 SSO 环境。在某些方案中,您必须仅还原加密密钥或仅还原 SSO 数据库。下表描述了若干种恢复方案,并列出了必须还原的内容。

方案 要还原的内容

将加密密钥服务器角色移动到不同的服务器计算机上。

加密密钥

更改 SSO 服务帐户。

加密密钥

还原失败的数据库服务器计算机。

SSO 数据库

将 Office SharePoint Server 2007 服务器场迁移到一组不同的服务器计算机。

加密密钥和 SSO 数据库

从整个服务器场灾难中恢复。

加密密钥和 SSO 数据库

任务要求

以下为执行此任务过程必须具备的条件:

  • 若要完成这些过程,至少必须是 SharePoint 组“Farm Administrators”的成员。

  • 您必须以本地方式登录到加密密钥服务器才能备份加密密钥。加密密钥服务器是启用了 SSO 服务的第一台服务器。加密密钥服务器必须运行 SharePoint 管理中心网站。

  • 如果 IT 环境要求数据库管理员 (DBA) 必须备份或还原 SSO 数据库,则您必须与 DBA 配合来备份加密密钥,以确保为数据库备份了正确的密钥。用于备份 SSO 数据库的帐户必须是 SQL Server db_backupoperator 固定数据库角色的成员。用于还原 SSO 数据库的帐户必须是 SQL Server dbcreator 固定服务器角色的成员。

  • 您不必重新启动计算机即可完成这些任务。但是,您必须停止并重新启动 SSO 服务才能完成某些任务。由于 SSO 服务在重新启动时将不可用,因此用户必须登录到他们使用的每个服务或应用程序。

  • 您可以使用 SharePoint 管理中心网站来执行此任务的各个过程。您可以使用 Stsadm 命令行工具备份和还原 SSO 数据库(但不能使用该工具备份和还原加密密钥)。

您可以执行以下过程来备份和还原 SSO:

另请参见

概念

备份和还原服务器场 (Office SharePoint Server 2007)
备份和还原整个服务器场 (Office SharePoint Server 2007)
创建恢复场 (Office SharePoint Server 2007)
通过使用内置工具备份和还原 Web 应用程序 (Office SharePoint Server 2007)
使用内置工具备份和还原网站集 (Office SharePoint Server 2007)
备份和还原数据库 (Office SharePoint Server)
备份和还原 SSP (Office SharePoint Server 2007)
通过使用内置工具备份和还原“我的网站”(Office SharePoint Server 2007)
通过使用内置工具备份和还原 InfoPath 表单 (Office SharePoint Server 2007)
通过使用 DPM 备份和还原项目 (Office SharePoint Server)
使用 DPM 备份和还原网站 (Office SharePoint Server)